Implementation of Centralized Log Management Solution for Ensuring Privacy of Individuals as Required by EU Regulation

Abstract

The primary purpose of this thesis was to explore the new European Union (EU) data privacy regulation, General Data Protection Regulation (GDPR), to ensure the case company is compliant with the regulation when it comes into effect on 25th of May 2018. The regulation requires organizations to implement necessary technical solutions and organizational processes to ensure the privacy of individuals is not violated.

The secondary purpose of the thesis is to research System Information and Event Management (SIEM) solutions, which can be used to cover the technical requirements set by the regulation. Commercial SIEM solutions are often designed to meet the necessary auditing requirements set by the regulation, but are also rather heavyweight to be implemented for smaller organizations and therefore a log management solution, Elastic Stack, was looked at in detail.

The outcome of the thesis was a functional Elastic Stack deployment, which meets the basic functionality of a SIEM solution. With the system, it is possible to demonstrate that the client company processes personal information in compliance with the regulation and is capable of noticing security threats as required by the regulation.

Because of the thesis, the personal data protection and the level of security of the IT environment has been increased to match the challenges set by modern security threats in regards to log management and ability to define the scale of security breach. The thesis was carried out from the case company’s point of view, but can be utilized by small and medium-sized businesses that are not focused on dealing with personal information.

Insinöörityön pääasiallinen tarkoitus oli tutkia uutta Euroopan unionin tietosuoja-asetusta (General Data Protection Regulation, GDPR) ja varmistaa, että työn tilaajayritys täyttää asetuksen vaatimukset asetuksen tullessa voimaan 25.5.2018. Asetus velvoittaa organisaatioita luomaan tarvittavat tekniset ratkaisut ja organisaatioprosessit yksilöiden tietoturvan turvaamiseksi.

Insinöörityön toisena tarkoituksena oli tutkia Security Information and Event Management (SIEM) -ratkaisuja, joita on mahdollista käyttää hyväksi asetuksen teknisten vaatimusten täyttämiseksi. Kaupalliset SIEM-ratkaisut on lähtökohtaisesti suunniteltu siten, että niiden auditointiominaisuudet täyttävät asetuksen asettamat vaatimukset. Nämä järjestelmät ovat kuitenkin useimmiten liian raskaita pienille organisaatioille, joten Elastic Stack -nimistä lokienhallintajärjestelmäratkaisua tutkittiin työssä tarkemmin.

Insinöörityössä toteutettiin Elastic Stack -lokienhallintajärjestelmäratkaisu, joka täyttää SIEM-järjestelmän perustoiminnallisuudet. Järjestelmän avulla on mahdollista näyttää toteen, että työn tilaajayritys käsittelee henkilötietoja GDPR:n asettamien vaatimusten mukaisesti ja kykenee havaitsemaan tietoturvauhkia asetuksen vaatimalla tavalla.

Insinöörityön ansiosta tilaajayrityksen henkilötietosuoja sekä palvelin- ja laiteympäristön tietoturvan taso on saatu vastaamaan nykyaikaisten tietoturvauhkien asettamia haasteita lokitietojen keräämisen ja tieturvapoikkeuksien laajuuden selvittämisen osalta. Insinöörityö tehtiin tilaajayrityksen näkökulmasta, mutta se on lisäksi sovellettavissa pienille- ja keskisuurille yrityksille, joiden ydinliiketoimintaan ei kuulu henkilötietojen käsittely.